虽然与IPv4相比,IPv6在网络保密性、完整性方面做了更好的改进,在可控性和抗否认性方面有了新的保证,但目前多数网络攻击和威胁来自应用层而非网络层。因此,保护网络安全与信息安全,只靠一两项技术并不能实现,还需配合多种手段,诸如认证体系、加密体系、密钥分发体系、可信计算体系等。
安全新问题如影随形
IPv6是新的协议,在其发展过程中必定会产生一些新的安全问题,主要包括:
● 针对IPv6的网管设备和网管软件都不太成熟。
IPv6的管理可借鉴IPv4。但对于一些网管技术,如SNMP(简单网络管理)等,不管是移植还是重建,其安全性都必须从本质上有所提高。由于目前针对IPv6的网管都不太成熟,因此缺乏对IPv6网络进行监测和管理的手段,对大范围的网络故障定位和性能分析的能力还有待提高。
● IPv6中同样需要防火墙、、IDS(入侵检测系统)、漏洞扫描、网络过滤、防病毒网关等网络安全设备。
事实上,IPv6环境下的病毒已经出现。例如,有研究人员在IPv6中发现了一处安全漏洞,可能导致用户遭受拒绝服务攻击。据悉,该漏洞存在于IPv6的type 0路由头(RH0)特征中。某些系统在处理IPv6 type 0路由头时存在拒绝服务漏洞。
● IPv6协议仍需在实践中完善。
IPv6组播功能仅仅规定了简单的认证功能,所以还难以实现严格的用户限制功能。移动IPv6(Mobile IPv6)也存在很多新的安全挑战,目前移动IPv6可能遭受的攻击主要包括拒绝服务攻击、重放攻击以及信息窃取攻击。另外,DHCP( Dynamic Host Configuration Protocol,动态主机配置协议)必须经过升级才可以支持IPv6地址,DHCPv6仍然处于研究、制订之中。
●向IPv6迁移过程中可能出现漏洞。
目前安全人员已经发现从IPv4向 IPv6转移时出现的一些安全漏洞,例如黑客可以非法访问采用了IPv4和IPv6两种协议的LAN网络资源,攻击者可以通过安装了双栈的IPv6主机建立由IPv6到IPv4的隧道,从而绕过防火墙对IPv4进行攻击。
IPv6协议在网络安全上的改进
● IP安全协议(IPSec)技术
IP安全协议(IPSec)是IPv4的一个可选扩展协议,而在IPv6中则是一个必备的组成部分。IPSec协议可以“无缝”地为IP提供安全特性,如提供访问控制、数据源的身份验证、数据完整性检查、机密性保证,以及抗重播(Replay)攻击等。
IPSec通过三种不同的形式来保护通过公有或私有IP网络来传送的私有数据。
(1)验证:通过认证可以确定所接受的数据与所发送的数据是否一致,同时可以确定申请发送者在实际上是真实发送者,而不是伪装的。
(2)数据完整验证:通过验证保证数据从原发地到目的地的传送过程中没有任何不可检测的数据丢失与改变。
(3)保密:使相应的接收者能获取发送的真正内容,而无关的接收者无法获知数据的真正内容。
需要指出的是,虽然IPSec能够防止多种攻击,但无法抵御Sniffer、DoS攻击、洪水(Flood)攻击和应用层攻击。IPSec作为一个网络层协议,只能负责其下层的网络安全,不能对其上层如Web、E-mail及FTP等应用的安全负责。
●灵活的扩展报头
一个完整的IPv6数据包包括多种扩展报头,例如逐个路程段选项报头、目的选项报头、路由报头、分段报头、身份认证报头、有效载荷安全封装报头、最终目的报头等。这些扩展报头不仅为IPv6扩展应用领域奠定了基础,同时也为安全性提供了保障。
比较IPv4和Ipv6的报头可以发现,IPv6报头采用基本报头+扩展报头链组成的形式,这种设计可以更方便地增添选项,以达到改善网络性能、增强安全性或添加新功能的目的。
IPv6基本报头被固定为40bit,使路由器可以加快对数据包的处理速度,网络转发效率得以提高,从而改善网络的整体吞吐量,使信息传输更加快速。
IPv6基本报头中去掉了IPv4报头中的部分字段,其中段偏移选项和填充字段被放到IPv6扩展报头中进行处理。
去掉报头校验(Header Checksum,中间路由器不再进行数据包校验)的原因有三: 一是因为大部分链路层已经对数据包进行了校验和纠错控制,链路层的可靠保证使得网络层不必再进行报头校验; 二是端到端的传输层协议也有校验功能以发现错包; 三是报头校验需随着TTL值的变化在每一跳重新进行计算,增加包传送的时延。
●地址分配与源地址检查
地址分配与源地址检查在IPv6的地址概念中,有了本地子网(Link-local)地址和本地网络(Site-local)地址的概念。从安全角度来说,这样的地址分配为网络管理员强化网络安全管理提供了方便。若某主机仅需要和一个子网内的其他主机建立联系,网络管理员可以只给该主机分配一个本地子网地址;若某服务器只为内部网用户提供访问服务,那么就可以只给这台服务器分配一个本地网络地址,而企业网外部的任何人都无法访问这些主机。
由于IPv6地址构造是可会聚的(aggregate-able)、层次化的地址结构,因此,IPv6接入路由器对用户进入时进行源地址检查,使得ISP可以验证其客户地址的合法性。
源路由检查出于安全性和多业务的考虑,允许核心路由器根据需要,开启反向路由检测功能,防止源路由篡改和攻击。
IPv6固有的对身份验证的支持,以及对数据完整性和数据机密性的支持和改进,使得IPv6增强了防止未授权访问的能力,更加适合于那些对敏感信息和资源有特别处理要求的应用。
通过端到端的安全保证,网络可以满足用户对安全性和移动性的要求。IPv6限制使用NAT(Network Address Translation,网络地址转换),允许所有的网络节点使用全球惟一的地址进行通信。每当建立一个IPv6的连接,系统都会在两端主机上对数据包进行 IPSec封装,中间路由器对有IPSec扩展头的IPv6数据包进行透明传输。通过对通信端的验证和对数据的加密保护,使得敏感数据可以在IPv6 网络上安全地传递,因此,无需针对特别的网络应用部署ALG(应用层网关),就可保证端到端的网络透明性,有利于提高网络服务速度。
●域名系统DNS
基于IPv6的DNS系统作为公共密钥基础设施(PKI)系统的基础,有助于抵御网上的身份伪装与偷窃。当采用可以提供认证和完整性安全特性的DNS安全扩展 (DNS Security Extensions)协议时,能进一步增强对DNS新的攻击方式的防护,例如网络钓鱼(Phishing)攻击、DNS中毒(DNS poisoning)攻击等,这些攻击会控制DNS服务器,将合法网站的IP地址篡改为假冒、恶意网站的IP地址。物联网的概念是在1999年提出的。物联网的英文名称叫“The Internet of things”,顾名思义,简而言之,物联网就是“物物相连的互联网”。这有两层意思:第一,物联网的核心和基础仍然是互联网,是在互联网基础上的延伸和扩展的网络;第二,其用户端延伸和扩展到了任何物品与物品之间,进行信息交换和通讯。严格而言,物联网的定义是:通过射频识别(RFID)、红外感应器、全球定位系统、激光扫描器等信息传感设备,按约定的协议,把任何物品与互联网连接起来,进行信息交换和通讯,以实现智能化识别、定位、跟踪、监控和管理的一种网络。
物联网中非常重要的技术是RFID电子标签技术。以简单RFID系统为基础,结合已有的网络技术、数据库技术、中间件技术等,构筑一个由大量联网的阅读器和无数移动的标签组成的,比Internet更为庞大的物联网成为RFID技术发展的趋势。物联网用途广泛,遍及智能交通、环境保护、政府工作、公共安全、平安家居、智能消防、工业监测、老人护理、个人健康等多个领域。预计物联网是继计算机、互联网与移动通信网之后的又一次信息产业浪潮。有专家预测10年内物联网就可能大规模普及,这一技术将会发展成为一个上万亿元规模的高科技市场。
国际电信联盟2005年一份报告曾描绘“物联网”时代的图景:当司机出现 *** 作失误时汽车会自动报警;公文包会提醒主人忘带了什么东西;衣服会“告诉”洗衣机对颜色和水温的要求等等。
物联网把新一代IT技术充分运用在各行各业之中,具体地说,就是把感应器嵌入和装备到电网、铁路、桥梁、隧道、公路、建筑、供水系统、大坝、油气管道等各种物体中,然后将“物联网”与现有的互联网整合起来,实现人类社会与物理系统的整合,在这个整合的网络当中,存在能力超级强大的中心计算机群,能够对整合网络内的人员、机器、设备和基础设施实施实时的管理和控制,在此基础上,人类可以以更加精细和动态的方式管理生产和生活,达到“智慧”状态,提高资源利用率和生产力水平,改善人与自然间的关系。
物联网是利用无所不在的网络技术建立起来的,是继计算机、互联网与移动通信网之后的又一次信息产业浪潮,是一个全新的技术领域。早在1999年,在美国召开的移动计算和网络国际会议就提出,“传感网是下一个世纪人类面临的又一个发展机遇”;2003年,美国《技术评论》提出传感网络技术将是未来改变人们生活的十大技术之首;2005年,在突尼斯举行的信息社会世界峰会(WSIS)上,国际电信联盟(ITU)发布了《ITU互联网报告2005:物联网》,正式提出了“物联网”的概念。
毫无疑问,如果“物联网”时代来临,人们的日常生活将发生翻天覆地的变化。然而,不谈什么隐私权和辐射问题,单把所有物品都植入识别芯片这一点现在看来还不太现实。人们正走向“物联网”时代,但这个过程可能需要很长很长的时间。
风险:
1、监听攻击。这种攻击会用到监听程序(sniffer),窃听任何通过网络传送的未加密信息再加以窃取。
2、阻断服务攻击。网络犯罪分子利用这种攻击来封锁或阻慢对某些网络或设备的使用。
3、密钥沦陷攻击。在此类攻击中,用来加密通信的密钥被窃并用于解译加密过的资料。
4、基于密码的攻击。网络犯罪分子利用猜测或窃取密码这类攻击来入侵网络或连到特定网络的设备。
5、中间人攻击。在此类攻击中,第三者会窃走双方或设备间传输的数据。
建议:
1、启用智能设备上所有的安全功能。这些都是由制造商提供,以帮助确保您的安全,并且强烈推荐使用它们。
2、购买会定期更新产品固件的厂商出的物联网产品。产品的缺陷和漏洞在任何产品中都会存在,会定期推出固件更新补丁来加以修补的厂商出的产品通常比较安全。
3、研究自己的智能设备是否能够正确地加密其固件更新和网络通信。即使智能设备宣称具备加密能力,但有些可能加密不当或不完全。记得要去搜寻设备型号以确认是否存在任何历史性安全问题。
4、使用安全的密码。好的密码应该是包含各式字符(字母、数字、标点符号、数学符号等等)的复杂组合。至少要有八个字符长度,同时使用大小写。此外,避免重复使用密码或在不同设备上使用相同的密码。
5、了解制造商如何管理他们的设备漏洞。漏洞让恶意分子和网络犯罪分子有机会去攻击你的设备,知道了制造商和厂商如何解决这些问题,可以决定你是免于此种威胁或是暴露在进一步的风险中。
万物联网(IoE,Internet of Everything)呈现出令人兴奋的时代,具备更多的方便性、移动性和创新科技。如今市场上许多的智能设备都是种革新,让我们看到未来的无限可能,但它的易用性和连通性也使我们的隐私越来越容易泄露。这些设备收集和传输的个人资料越多,就越容易让网络犯罪分子有机会对个人资料加以拦截并用在犯罪用途上。正因如此,我们都需要清楚了解这些风险,充分准备好尽自己的一切努力来解决这类问题。所有智能化技术的核心都是设备间的网络互联,而这正是我们耳熟能详的物联网(IoT)。据预测,到2020年,将有500亿个“事物”实现互相通信或是通过互联网进行沟通。面对如此迅速的普及和发展,一些新的挑战也随之而来:如何才能使物联网易于使用并且具有较高的性价比和效率呢?对此,德州仪器(TI)众多物联网专家经过深入交流,指出了物联网发展所面临的六大主要挑战,并给出了解决这些挑战的关键,尤其强调了针对消费类、工业和汽车领域的物联网应用。
挑战一:低功耗是重中之重
物联网从一个利基市场(小众市场)不断发展成为一个几乎将我们生活各个方面都连接在一起的庞大网络,面对如此广泛的应用,功耗是至关重要的。在物联网领域中,许多联网器件都是配备有采集数据节点的微控制器(MCU)、传感器、无线设备和制动器。在通常情况下,这些节点将由电池供电运行,或者根本就没有电池,而是通过能量采集来获得电能。特别是在工业装置中,这些节点往往被放置在很难接近或者无法接近的区域。这意味着它们必须在单个纽扣电池供电的情况下实现长达数年的运作和数据传输。
“电池的安装、养护和维修不仅难度很高,同时也会带来高昂的开销。而在某些车间或厂房内,这些 *** 作甚至非常危险。”关注无线和低功耗充电领域的Harsha表示,“我们的目标就是让用户在器件的使用寿命内无需更换电池。”基于此,Harsha和他的团队正在研究尽可能延长微型电池供电时间的方法。例如,借助太阳能来供电,无论是室内或是户外光源,即使是只从光源中采集很少的能量,其影响也是巨大的。同时,通过工厂中某一物件的内外环境温差,也能够实现能量的采集,例如温度高于外部空气的高温液体管道。此外,在工业装置中,车间内机器所产生的振动也能被用于能量采集。通过住所内来自WiFi的无线电波,也可以为支持物联网节点的电池生成一个小电荷。
以上种种方法的目标是将电池的使用寿命延长10%或20%。虽然消费类电子元器件更新换代的速度越来越快,但是工业应用中的物联网技术可以持续很长的时间。通过使用能量采集来延长电池的使用寿命,一块电池可以持续供电20年到30年,直到所有的节点需要更换。在某些情况下,由于能量采集的使用,这些节点甚至可以实现无电池运行。
挑战二:感测必不可少
如果没有感测,那么物联网也将不复存在。传感器、微型器件和节点是构成整个物联网系统的基石,它们能够测量、生成数据并将数据发送给其他节点或云端设备。无论是感测住宅的房门是否关闭,还是汽车的机油是否需要更换,抑或是生产线上的某个设备会不会出现故障,传感器采集到的数据都是关键信息。
“感测在需要作出决策的时候便会发挥作用,这一过程不一定需要人工干预。”专注电流感测领域的Jason表示,“如果传送带正在传输某个物体,传感器能够帮助确定这个物体是什么、重量为多少以及传送带是否过热等。例如,分析电机内的电流能够让人们了解电机的健康状况、是不是出现了故障。这些都是在进行工厂控制时需要了解的内容,而传感器使这一切变为可能。当提供实时数据时,这些重要数据的结合将影响到方方面面。”
因为传感器采集了海量的数据,特别是在工业物联网(IIoT)中更是如此,所以传感器软件的创新与传感器硬件的创新同样重要。当获得了海量的信息时,如何确定信息是不是过多?如何判定所掌握的数据是不是有用?其中极为重要的一环就是算法。一旦有了合适的算法并且得以充分利用,它们将改变制造业。工厂会变得越来越小,效率却越来越高。
挑战三:连通性选择由繁化简至关重要
一旦传感器数据被低功耗节点采集,这些数据必须被传送到某个地方。在大多数情况下,它会被传送至一个网关,这是物联网系统中互联网与云或其他节点之间的中间点。目前,根据独特的使用情况和不同的需求,我们可以选择多种有线或无线的方式来连接设备。各项不同连通性标准和技术都有其特殊的价值与用途,不过将WiFi、Bluetooth、Sub-1 GHz和以太网中的所有这些标准都整合起来却是一项巨大的工程。鉴于产品的多样性以及需要将连通性添加到很多标准与技术并不相同且大多数此前并不具备互联网连通性的产品中,这就需要采用复杂的技术,并使其变得更加简单。
挑战四:管理云端连通性是关键
一旦数据通过一个网关,它在大多数情况下会直接进入云端。在这里,数据被分析、检查,然后付诸实施。物联网的价值源自云端服务上运行的数据。正如连通性一样,云端服务的选择也有很多,这也是物联网发展中另一个复杂点。
“目前,云端供应商的种类繁多,数量也不尽相同,并且没有针对云端设备连接和管理方式的标准。”专注物联网市场发展领域的Gil表示。为了满足那些使用多个云端服务的用户的需求,必须开发物联网云端生态系统,提供集成的TI技术解决方案。可喜的是,由于云端技术已经实现了良好的成本效益,物联网目前正以极快的步伐飞速发展。不过,为了实现物联网的进一步增长,在复杂度简化方面还有很多工作要做。
挑战五:安全性是广泛采用的关键
整个系统的安全性是制约物联网被广泛采用的最大障碍之一。随着越来越多的设备变得“智能化”,越来越多的潜在安全性漏洞将出现。这需要业界研究构建先进的硬件安全机制,同时将安全机制成本和功耗保持在较低的水平上。这需要相关厂商在集成安全协议和安全性软件方面投入大量的人力物力,努力减少把高级安全性功能添加到物联网产品中所遇到的障碍,以确保在保障安全性方面降低门槛。
挑战六:为经验不足的开发人员提供简易物联网解决方案
虽然物联网技术曾经主要由技术公司使用,但是从目前来看甚至在未来一段时间里,物联网技术将在有着一定技术背景限制的行业中被广泛应用。以一个生产龙头公司为例。直到目前,由于没有任何需求,电气工程师也许从未在龙头制造公司工作过。但是如果这家公司打算生产接入互联网的花洒,那么其在人力和时间方面的投入将是巨大的。因此,物联网技术必须能够轻松地添加到其现有和未来的产品中,而无须网络和安全工程师参与其中。这些公司不需要像一家互联网技术公司那样,在技术学习方面投入,他们现在可以从相关企业获得现成可用的技术。对于相关技术公司来说,如何为这些经验不足的开发人员提供简易且立即见效的物联网解决方案,既是挑战更是机遇。
由于我们生活中越来越多的事物正在与网络建立互联,并且随着物联网应用的不断普及与拓展,还有大量的工作需要去完成。以物联网为代表的信息化应用是对我们未来方方面面高品质生活的巨大展望,包括我们的住所、汽车和高效工厂内的用户便利性与生活方式等,而这一切将最终使我们的世界变得更加美好。
您好,办理手机套餐等业务时要通过正规的办理渠道进行办理哦。“电信星卡”是中国电信官方重磅推出的流量手机卡,聚合流量+语音+权益为一体,是一张为互联网用户量身定做的手机卡!
过去一年中,全球各地的物联网恶意攻击事件大幅增加,其中就包括了两次非常有名的DDoS攻击:一次发生在通过Akamai托管的“Krebs on Security”博客网站上,另一次则发生在为众多社交网站的关键互联网基础设施提供支持的Dyn DNS服务器上。在这两个案例中,攻击者利用物联网设备(如IP监控摄像头、DVR以及其他与目标无关的消费类设备)创建了能够破坏目标(不相关)服务的僵尸网络。在DNS事件中,许多常用的互联网服务都遭到了破坏,包括Netflix、Spotify、Twitter、Tumblr等等。
可以看出,黑客在众多攻击事件中使用的套路是:将恶意代码写入通常位于网络附近或边缘位置的设备的非易失性存储中,令该设备被劫持成为恶意僵尸网络的一部分。而物联网边缘网络和设备之所以被黑客盯上,其原因就在于通常情况下,在企业认识到加密安全保护是新设计中稳健周全的基础支柱要素之前,大多数物联网设备都已经被部署完毕,这就让它们非常轻易地成为了黑客攻击入侵的目标。
更加聪明的深度防御
一般的物联网管理者,往往在软件安全方面投入了大量安全监管精力,但是却很容易忽略硬件选项。然而如果不同时考虑硬件和软件的话,则无法实现“自动防御故障”安全保护。
针对物联网领域的安全隐患,美光科技提出的策略是:设计具有相应的恶意软件抵御能力的设备,并使之具有适当级别的保护冗余,以防未来暴露出一些意想不到的安全漏洞。这也就是说,最好的深度防御其实是硬件和软件的强强联合。
美光科技认为,存储正是打通软件和硬件安全方案的关键点,因此其安全防御的思路,就是通过软件和硬件结合的存储级别的安全防护,来解决当前困扰物联网行业的安全难题。1、物联网设备资源有限,导致实施难度大。物联网设备的内存、CPU、电量一般都比较有限,设备上不适合运行复杂的安全防御程序;
2、物联网设备节点数量太多,应用种类多,导致物联网平台对设备的安全感知、检测、防御更加复杂;
3、目前物联网设备处在初级和野蛮生长阶段,很多厂家不重视安全,导致物联网系统漏洞百出,有的可能甚至成为攻破物联网系统的突破口;
先写这么多吧。
欢迎分享,转载请注明来源:内存溢出
微信扫一扫
支付宝扫一扫
评论列表(0条)